Datenschutzkonzept

Angaben zum Verantwortlichen:

Verantwortlicher:

Andere Baustelle Ulm e.V.

Einrichtung der Jugendberufshilfe

Schillerstraße 1/7

89077 Ulm

Gesetzliche Vertreter:

Petra Schuhmann

Datenschutzbeauftragter:

Martin Hanak

Keplerstraße 12

73054 Eislingen (Deutschland)

info@hanak-datenschutz.de

 

 


Übersicht der Verarbeitungstätigkeiten

1.     Ziele dieses Datenschutzkonzeptes. 2

2.     Geltungsbereich. 3

3.     Begriffsdefinitionen. 3

4.     Grundsätze des Datenschutzes. 4

5.     Verantwortlichkeiten innerhalb der Organisation. 4

5.1.      Verantwortliche Stelle. 5

5.2.      Leitung. 5

5.3.      Datenschutzbeauftragter 5

5.4.      Personalverantwortliche. 6

5.5.      IT-Verantwortliche. 6

5.6.      Mitarbeiter 6

6.     Organisation des Datenschutzes. 6

6.1.      Betroffene Personen. 7

6.2.      Personenbezogene Daten. 7

6.3.      Verfahrensbeschreibungen. 8

6.4.      Sensibilisierung der Mitarbeiter 8

6.5.      Folgenabschätzung und Risikomanagement 8

7.     Datenschutzmaßnahmen. 10

7.1.      Technische und organisatorische Maßnahmen. 10

7.2.      Beschaffung von Hard- und Software. 10

7.3.      Externe Dienstleister 10

8.     Datenschutzvorfälle und Anfragen. 11

9.     Kontinuierlicher Verbesserungsprozess. 12

10.   Rechenschafts- und Dokumentationspflicht 12

Anhang. 13

Aufbewahrungsfristen. 13

 

1.         Ziele dieses Datenschutzkonzeptes

Die Andere Baustelle Ulm e.V. nimmt den Schutz von personenbezogenen Daten ernst, denn Datenschutz ist ein Grundrecht, mit dem die informationelle Selbstbestimmung des Menschen geschützt wird. Dieses Grundrecht ist als Ausprägung des allgemeinen Persönlichkeitsrechts nach Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG das Recht des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen. Dafür ist es unerlässlich, Regelungen für den Umgang mit personenbezogenen Daten zu bestimmen.

Mit personenbezogenen Daten ist stets ein vertraulicher Umgang zu gewährleisten.

Das hier beschriebene Datenschutzkonzept hilft bei der Berücksichtigung des betrieblichen Datenschutzes im Arbeitsalltag. Mit den Regeln gewinnen die Mitarbeiter Sicherheit. Sie sollen sich daran orientieren. Es zeigt, welche Anforderungen einzuhalten sind.

Es zeigt wie der Datenschutz im Unternehmen organisiert wird. Dazu gehört:

·        Die Festlegung von Verantwortlichkeiten,

·        Aufgaben und Maßnahmen zur rechtskonformen Datenverarbeitung und

·        Grundsätzliche Regelungen für den Umgang mit personenbezogenen Daten.

Ziel ist es, die aktuellen Gesetze zu erfüllen und somit die Personen hinter diesen Daten wie unsere Teilnehmer, Mitglieder, Kunden, Mitarbeiter, Bewerber, Lieferanten und alle weiteren Interessenspartner zu schützen.

2.         Geltungsbereich

Dieses Dokument regelt die datenschutzkonforme Informationsverarbeitung und die entsprechenden Verantwortlichkeiten bei der Anderen Baustelle Ulm e.V. Die hier beschriebenen Regelungen sind für alle Mitarbeiter des Verantwortlichen bindend.

3.         Begriffsdefinitionen

·        personenbezogene Daten sind alle Einzelangaben über persönliche oder sachliche Verhältnis-se einer natürlichen Person (Betroffener). Beispiele: Name, Vorname, Geburtstag, Adressdaten, Bestelldaten, E-Mail- Inhalte.

·        verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.

·        Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

·        besondere personenbezogener Daten sind Angaben über rassische, ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben oder zu Straftaten.

·        Pseudonymisierung bedeutet, dass die personenbezogenen Daten ohne zusätzliche Informationen (eine Art Schlüssel) nicht mehr eindeutig einer betroffenen Person zugeordnet werden können. Diese zusätzlichen Informationen müssen nach den Anforderungen des Datenschutzes aufbewahrt werden.

·        Bei der Anonymisierung werden personenbezogene Daten so verändert, dass sie nicht mehr einer Person zugeordnet werden können. Anonymisierte Daten unterliegen nicht dem Datenschutz.

Weitere Begriffsdefinitionen sind in Art. 4 der Datenschutz-Grundverordnung enthalten.

4.         Grundsätze des Datenschutzes

Im Zentrum der EU Datenschutz-Grundverordnung stehen die Grundsätze zur rechtskonformen Speicherung und Verarbeitung personenbezogener Daten. Diese im Folgenden beschriebenen Grundsätze gelten als Basis des Datenschutzes und sie sind zwingend von jeder Organisation bei allen datenverarbeitenden Tätigkeiten zu berücksichtigen:

  • Rechtmäßigkeit, d.h. dass es muss grundsätzlich eine Erlaubnis geben für das Verarbeiten geben. Hierzu zählt bspw. ein Vertrag für dessen Erfüllung die Verarbeitung notwendig ist, ein Gesetz, welches die Verarbeitung vorschreibt oder eine Einwilligung des Betroffenen.
  • Transparenz, d.h. das Arbeiten mit den personenbezogenen Daten muss für den Betroffenen nachvollziehbar sein. Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind.
  • Zweckbindung, d.h. Personenbezogene Daten dürfen ausschließlich für eindeutig bestimmte und legitime Zwecke verarbeitet werden. Eine Weiterverarbeitung zu einem anderen als dem ursprünglich definierten Zweck ist unzulässig.
  • Datenminimierung, d.h. dass nur die Daten verarbeitet werden dürfen, die für die Erfüllung des Zwecks der Verarbeitungstätigkeit zwingend erforderlich sind. Die Verarbeitung ist somit auf das notwendige Maß zu beschränken. Grundsätzlich gilt, dass personenbezogene Daten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann.
  • Richtigkeit, d.h. Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.
  • Speicherbegrenzung, d.h. die Daten müssen gelöscht werden, sobald der Zweck der Datenverarbeitung erfüllt ist. Hierbei ist zu beachten, dass viele Verarbeitungstätigkeiten mehrere Zwecke haben können, von denen aus auch gesetzliche Vorgaben für die Speicherung von Daten vorgeschrieben sind. (Bsp. Personaldaten: eigentlicher Zweck ist das vertraglich geregelte Arbeitsverhältnis. Sobald dieses nicht mehr besteht – also der Zweck erfüllt ist – können die Daten dennoch nicht gelöscht werden, da es gesetzliche Regelungen über die Aufbewahrungsdauer gibt.)
  • Integrität und Vertraulichkeit, d.h. Personenbezogene Daten müssen durch geeignete technische und organisatorische Maßnahmen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung.
  • Rechenschaftspflicht, d. h. der Verantwortliche muss die Grundsätze zum Umgang mit personenbezogenen Daten einhalten und die konforme Umsetzung nachweisen können.

5.         Verantwortlichkeiten innerhalb der Organisation

Alle Mitarbeiter der Anderen Baustelle Ulm e.V. sind hinsichtlich der in ihrem Aufgabengebiet durchzuführenden datenverarbeitenden Tätigkeiten gleichermaßen für die Umsetzung und Einhaltung der Grundsätze des Datenschutzes verantwortlich.

5.1.        Verantwortliche Stelle

Der Verein „Andere Baustelle Ulm e.V.“, ist entsprechend Art. 4 Nr. 7 DSGVO „Verantwortlicher“. Er entscheidet über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten.

 

5.2.        Leitung

Die Leitung

·        bestimmt verantwortliche Personen und

·        schafft die Voraussetzungen, die Regeln einzuhalten

·        muss dafür sorgen, dass den Mitarbeitern die Regeln vertraut werden

·        bestellt und unterstützt den Datenschutzbeauftragten.

5.3.        Datenschutzbeauftragter

Es ist folgender externer Datenschutzbeauftragter benannt:

Herr Martin Hanak
Telefonnummer: 07161 / 3540262
E-Mail: info@hanak-datenschutz.de

Der Beauftragte arbeitet als Stabsstelle zur Geschäftsleitung,

·        verfügt über Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren und

·        überwacht die Einhaltung der Bestimmungen der DSGVO

·        unterstützt die Leitung,

·        wirkt auf die Umsetzung der Datenschutzanforderungen hin

·        ist Ansprechpartner für Fragen in dem Bereich, für Mitarbeiter und Ratsuchende

·        sollte das Datenschutzkonzept mindestens einmal im Jahr überprüfen und es bei Bedarf anpassen.

Der Datenschutzbeauftragte führt die Sensibilisierung der Mitarbeiter durch bzw. ist für die Organisation verantwortlich. Er dokumentiert Datenschutzschulungen und bewahrt Nachweise dafür auf.

Bei der Festlegung und Umsetzung der technischen und organisatorischen Maßnahmen unterstützt der Datenschutzbeauftragte. Er steht in engem Austausch mit den Verantwortlichen und berichtet der Geschäftsleitung.

Das regelmäßige Überprüfen und Aktualisieren der Datenschutzdokumente übernimmt der Datenschutzbeauftragte. Ziel ist es, dass diese den tatsächlichen Abläufen entsprechen.

 

5.4.        Personalverantwortliche

Personalverantwortliche halten im Bewerberauswahlprozess und bei der Personaldatenführung alle Datenschutzanforderungen ein. Die Aufbewahrungs- und Löschfristen unterscheiden sich von anderen Abläufen und sind zu beachten. (siehe Dokument im Anhang)

Die Personalverantwortlichen im Unternehmen organisieren die Einweisung im Datenschutz. Jeder Mitarbeiter muss vor Tätigkeitsbeginn mit den Belangen des Datenschutzes vertraut gemacht werden.

Die Personalverantwortlichen sorgen dafür, dass neuen Mitarbeitern die „Verpflichtung zur Vertraulichkeit“ zusammen mit dem Arbeitsvertrag ausgehändigt wird.

Die Nachweise dazu werden in der Personalakte dokumentiert.

r die Beantragung der erforderlichen Zugriffsrechte bei den IT-Verantwortlichen sind die Personalverantwortlichen zuständig.

 

5.5.        IT-Verantwortliche

Die IT-Verantwortlichen müssen in ihrer Aufgabe besonders im Bereich Datenschutz sensibilisiert werden. Sie nehmen im Unternehmen eine wichtige Funktion ein und sind für das Umsetzen der technischen Voraussetzungen verantwortlich.

Die IT-Verantwortlichen unterstützen den Datenschutzbeauftragten bei technischen Informationen zu den Abläufen. Für die datenschutzrechtliche Bewertung von Verfahren, wie der Folgenabschätzung, ist es u.a. wesentlich zu erfahren

·        wo Daten gespeichert werden,

·        wie die Vertraulichkeit, Verfügbarkeit und Integrität gewährleistet ist,

·        wie die vertrauliche Übermittlung gesichert ist,

·        wie die Benutzerverwaltung (Anlegen der Mitarbeiter in Softwarelösungen) erfolgt,

·        auf welche Weise Zugriffsrechte vergeben werden.

 

5.6.        Mitarbeiter

Alle Mitarbeiter unterschreiben als Anhang zum Arbeitsvertrag eine Verpflichtung zur Vertraulichkeit. Die Verpflichtung gilt auch über das Ende der Tätigkeit hinaus. Über die Schweigepflicht nach § 203 StGB (Verletzung von Privatgeheimnissen) werden sie aufgeklärt. Auf die Wahrung des Sozialgeheimnisses nach § 35 SGB I werden die Mitarbeiter verwiesen.

Die Mitarbeiter müssen zu Beginn des Arbeitsverhältnisses und dann regelmäßig mit den Belangen des Datenschutzes vertraut gemacht werden. Dazu gehören praktische Maßnahmen im Alltag.

Die Regeln und Maßnahmen zum Schutz vor unbefugtem Zugriff müssen sie einhalten. D.h. die personenbezogenen Daten dürfen nicht in falsche Hände geraten. Sie müssen die Leitung informieren, wenn sie von dem Verlust oder einem Verstoß erfahren.

6.         Organisation des Datenschutzes

6.1.        Betroffene Personen

In der Anderen Baustelle Ulm e.V. sind folgende Personengruppen von der Verarbeitung personenbezogener Daten betroffen:

·        Teilnehmer

·        Mitarbeiter

·        Bewerber

·        Vereinsmitglieder

·        Kunden der Schreinerei

·        Lieferanten

·        Spendende und Sponsoren

·        Parkplatzmieter

·        Websitebesucher

6.2.        Personenbezogene Daten

Wesentlich ist, dass bei der Haupttätigkeit in der Anderen Baustelle Ulm e.V. durch die Beschäftigten Daten mit besonderem Schutzbedarf verarbeitet werden.

Personenbezogene Daten können nach Schutzstufenkonzepten in Schutzbedarfskategorien eingeteilt werden. Verwendet werden drei Stufen: „normal“, „hoch“ und „sehr hoch“. Die Bestimmung des Schutzbedarfs der personenbezogenen Daten hängt z.B. davon ab,

·        ob die Daten für Dritte einen besonderen Wert darstellen

·        wie sensibel die personenbezogenen Daten im jeweiligen Verfahren sind

·        wie groß der Umfang der verarbeiteten personenbezogenen Daten ist

·        ob die Anwendung, mit der verarbeitet wird, besonders kritisch ist

·        ob unbeabsichtigter oder unrechtmäßiger unbefugter Zugriff (Vernichtung, Verlust, Veränderung, Offenlegung) zu physischen, materiellen oder immateriellen Schaden führen kann

·        ob das jeweilige System/Verfahren in der Öffentlichkeit steht und ein Reputationsschaden droht

Die in der Anderen Baustelle Ulm e.V. verarbeiteten personenbezogenen Daten sind hinsichtlich der Grundrechte und Grundfreiheiten der betroffenen Personen besonders sensibel. Es findet eine umfangreiche Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO statt. In Abhängigkeit des jeweiligen Verfahrens können die personenbezogenen Daten einen hohen Schutzbedarf haben. Bei dem Nutzen einer Telefonnummer und des Namens liegt beispielsweise ein geringerer Schutzbedarf vor als bei der Erstellung einer persönlichen Entwicklungsdokumentation mit allen sozialen und gesundheitlichen Hintergrundinformationen. Bei einem Großteil unserer Tätigkeiten wird ein hoher Schutzbedarf angenommen.

Für die Verarbeitung sensibler personenbezogener Daten gelten erhöhte Anforderungen, wie die Bestellung des Datenschutzbeauftragten (siehe 5.2) und die Datenschutz-Folgenabschätzung (siehe 6.5.1). Der Schutzbedarf der jeweiligen Daten eines Verfahrens wird im Risikomanagement (siehe 6.5.2) berücksichtigt und hat einen Einfluss auf die Planung der Maßnahmen (siehe 7).

Ein Personenbezug ergibt sich, wenn die betroffene Person identifizierbar ist. Eine Person ist identifizierbar mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standorten. Es kann sich auch um Merkmale handeln, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind und weshalb sie identifiziert werden kann.

Laut Art. 9 DSGVO werden im Rahmen unserer Unterstützungsarbeit besondere Kategorien personenbezogener Daten verarbeitet. Dazu gehören zum Beispiel ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Art. 4 DSGVO definiert Gesundheitsdaten. Die personenbezogenen Daten beziehen sich auf körperliche oder geistige Gesundheit einer natürlichen Person. Es sind Informationen, aus denen der Gesundheitszustand hervorgeht.

Der Sozialdatenschutz findet Anwendung. Zu den verarbeiteten Daten in der Anderen Baustelle Ulm e.V. zählen auch Sozialdaten laut § 67 SGB X.

6.3.        Verfahrensbeschreibungen

Der Datenschutzbeauftragte dokumentiert fortlaufend alle Verfahren, in denen personenbezogene Daten verarbeitet werden und bewertet sie (siehe auch 5.2 und 6.5). Es gibt ein s. g. Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO. Dies enthält die Punkte, die nach DSGVO enthalten sein müssen.

Die Übersicht beschreibt, welche personenbezogenen Daten, zu welchem Zweck, mit welchem automatisierten Verfahren (Softwarelösung/Anwendung), auf welche Weise, durch wen verarbeitet werden und welche Datenschutzmaßnahmen dabei getroffen wurden. Hierin wird auch aufgeführt, wenn eine Verarbeitung personenbezogener Daten durch Subunternehmen im Auftrag stattfindet. Die vollständige Verarbeitungsverzeichnis liegt der Geschäftsführung vor.

6.4.        Sensibilisierung der Mitarbeiter

Es ist wichtig, dass allen Mitarbeitern der Datenschutz und die Maßnahmen dafür bei der täglichen Arbeit bewusst sind (gem. Art. 32 Abs. 4 DSGVO). Jeder Mitarbeiter soll über den gleichen Wissensstand verfügen. Ein wesentlicher Bestandteil dafür ist die Schulung der Mitarbeiter im Datenschutz. Die Schulungen finden zu Beginn der Tätigkeit und dann regelmäßig statt, um das Datenschutzniveau aufrechtzuerhalten bzw. zu steigern. Die Inhalte der Schulungen müssen an Veränderungen durch Gesetze oder technische Entwicklungen sowie in Abhängigkeit der Abläufe in der Organisation angepasst werden. Der Datenschutzbeauftragte überprüft den Erfolg der Schulungsmaßnahmen und bezieht die Ergebnisse in die neuen Schulungen ein.

6.5.        Folgenabschätzung und Risikomanagement

6.5.1.      Datenschutz-Folgenabschätzung

Die Datenschutz-Folgenabschätzung ist eine präventive Maßnahme, um spezifische Risiken der automatisierten Verarbeitung personenbezogener Daten vorab zu minimieren.

Der Verantwortliche nimmt vor der Einführung neuer Verfahren, bei denen in besonderem Umfang sensible personenbezogene Daten betroffen sind, eine Datenschutz- Folgenabschätzung nach Art. 35 Abs. 3 DSGVO vor. Der Datenschutzbeauftragte ist hierbei mit einzubeziehen. Der Verantwortliche dokumentiert und bewertet das Verfahren laut Art. 35 Abs. 7 DSGVO. Folgende Punkte müssen mindestens enthalten sein:

·        Beschreibung der geplanten Verarbeitungsvorgänge

·        Zweck der Verarbeitung

·        Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck

·        Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen (siehe 6.1 und 6.2)

·        die Abhilfemaßnahmen zur Bewältigung der Risiken (Sicherheitsvorkehrungen, Verfahren, die sicherstellen und nachweisen, dass die DSGVO eingehalten wird).

·        Entsprechend der Risiken werden die geeigneten technischen und organisatorischen Maßnahmen vom Datenschutzbeauftragten getroffen.

Wenn sich erkannte Risiken nicht hinreichend behandeln lassen, darf das Verfahren nicht zum Einsatz kommen.

Ergebnis und die Begründung sind zu dokumentieren. Die verantwortliche Stelle ist für die erforderlichen Informationen verantwortlich. Die IT-Verantwortlichen werden ggf. einbezogen (siehe 5.3).

6.5.2.      Risikomanagement

Ein Risiko ist die Möglichkeit, dass eine vorhandene Bedrohung eine Schwachstelle eines Wertes ausnutzt und dadurch dem Unternehmen Schaden zufügen könnte.

Das Risikomanagement ist für alle Datenschutzverfahren relevant (siehe 6.3).

Gemäß Art. 32 Abs. 1 DSGVO ist für das Bestimmen der technischen und organisatorischen Maßnahmen das Risiko für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen. Für die Einschätzung des Risikos ist das Schutzniveau einzubeziehen. Dafür ist der Schutzbedarf der jeweiligen personenbezogenen Daten innerhalb eines Verfahrens festzulegen (siehe 6.2).

Der Datenschutzbeauftragte trifft zusammen mit den Verantwortlichen des Verfahrens, der IT und der Geschäftsführung die Abwägung und analysiert und bewertet Risiken.

Beeinflusst wird die Einstufung durch die Eintrittswahrscheinlichkeit und die Schwere des potentiellen Schadens. Ein Schaden kann entstehen, wenn personenbezogene Daten z.B. unbeabsichtigt

·        vernichtet werden,

·        verändert werden,

·        verloren gehen,

·        unbefugt offengelegt werden

·        Unbefugte Zugang erlangt haben. (Art. 32 Abs. 2 DSGVO)

Der Datenschutzbeauftragte

·        dokumentiert analysierte Risiken,

·        das Schadenspotential,

·        bewertet es,

·        legt Maßnahmen zur Behandlung des Risikos fest,

·        stimmt sie mit den Verantwortlichen ab und

·        dokumentiert das voraussichtliche Restrisiko.

7.         Datenschutzmaßnahmen

7.1.        Technische und organisatorische Maßnahmen

Laut Art. 32 Abs. 1 DSGVO sind geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Zu diesen Maßnahmen zählen laut DSGVO allgemein:

·        die Pseudonymisierung und Verschlüsselung personenbezogener Daten,

·        die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste auf Dauer sicherzustellen,

·        die Fähigkeit, die Verfügbarkeit und den Zugang zu ihnen bei einem physischen und technischen Zwischenfall rasch wiederherzustellen,

·        ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Aufgrund dessen wurden Maßnahmen ergriffen, die Unbefugten den Zugang zu personenbezogenen Daten verwehren sollen. Die Maßnahmen beziehen sich auf Papierakten und die digitalen Daten in gleichem Maße.

Auf der Grundlage sind wesentliche Maßnahmen innerhalb der Beratungsstelle getroffen und müssen eingehalten werden. Die Dokumentation dieser Maßnahmen erfolgt im separaten Dokument „Technische und organisatorischen Maßnahmen“.

7.2.        Beschaffung von Hard- und Software

Die Beschaffung von Hard- und Software erfolgt grundsätzlich auf Anforderung der über die Verarbeitungen entscheidenden Person/Abteilung.

Bereits bei der Auswahl von Hard- und Software wird das Prinzip der Gewährleistung von Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen als ein tragendes Kriterium beachtet.

Falls mit der Beschaffung ein neues Verfahren der Verarbeitung personenbezogener Daten eingeführt werden soll, ist der Datenschutzbeauftragte rechtzeitig vorab von der anfordernden Stelle zu informieren. Die Beschaffung erfolgt erst nach Stellungnahme des DSB. Der DSB berät dahingehend, ob die Durchführung einer Datenschutz-Folgenabschätzung erforderlich ist.

Private Hard- und Software dürfen nicht zur Verarbeitung personenbezogener Daten Verwendung finden. Die dienstliche Nutzung privater Hard- und Software im heimischen und außerbetrieblichen Bereich (z.B. private Notebooks) bedarf der Genehmigung durch die Geschäftsführung im Einzelfall.

Bei Verdacht des Diebstahls von Hard- und Software, des unbefugten Zugriffs auf personenbezogene Daten, von Sabotage etc. sind die DV-Abteilung und der DSB unverzüglich zu informieren.

7.3.        Externe Dienstleister

Sollen externe Dienstleister erstmals mit der Verarbeitung personenbezogener Daten bzw. einzelnen Verarbeitungsschritten (z.B. Erhebung, Löschung = Entsorgung) bzw. mit Tätigkeiten (z.B. Wartung, Reparatur) beauftragt werden, bei denen sie die Möglichkeit der Kenntnis personenbezogener Daten bekommen, so ist der DSB vor der Beauftragung unter Vorlage des den Anforderungen des Art. 28 DS-GVO genügenden Vertragsentwurfs und der Kriterien der erfolgten bzw. nachfolgend vorgesehenen Auftragskontrolle zu informieren.

Entsprechendes gilt, falls die Andere Baustelle Ulm e.V. entsprechende Tätigkeiten im Auftrag Dritter wahrnehmen will.

8.   Datenschutzvorfälle und Anfragen

Datenschutzvorfälle sind unverzüglich dem Datenschutzbeauftragten und der Leitung zu melden. Der Datenschutzbeauftragte trifft die Entscheidung, ob der Vorfall gemeldet werden muss. In diesem Fall ist innerhalb von 72 Stunden die jeweils zuständige Aufsichtsbehörde zu informieren und der Datenschutzvorfall zu dokumentieren. Bei Datenschutzanfragen ist der Datenschutzbeauftragte sofort einzubeziehen.

Der Datenschutzbeauftragte muss bei Vorfällen:

·        die Ursache ermitteln und beseitigen

·        die negativen Folgen eindämmen

·        die Risiken neu bewerten

·        ggf. betroffene Personen informieren

·        ggf. Auskunft an die Aufsichtsbehörde erteilen

·        ggf. die Stelle Öffentlichkeitsarbeit einbeziehen.

Regelungen zur Meldung an die Aufsichtsbehörde und Benachrichtigungen gegenüber betroffenen Personen finden sich in den Art. 33 und 34 der DSGVO.

Datenschutzanfragen können vom jeweiligen Landesdatenschutzbeauftragten gestellt werden und müssen innerhalb eines angemessenen Zeitraums bearbeitet werden.

Auch betroffene Personen können Auskunft verlangen (Art. 15 DSGVO). Daneben haben die betroffenen Personen ein Recht auf Löschung, Sperrung und Berichtigung (Art. 16 und 17 DSGVO). Alle Mitarbeiter werden in den Sensibilisierungsmaßnahmen und Schulungen darüber informiert. Die Ansprechpartner für ckfragen sind jedem Mitarbeiter bekannt.

Es sollten Maßnahmen getroffen werden, dass es leicht ist, seine Rechte wahrzunehmen. Anfragen sind ernst zu nehmen und zu dokumentieren:

·        Wer erfragt,

·        was,

·        auf welcher Rechtsgrundlage?

Wenn begründete Zweifel an der Richtigkeit der Identität des Anfragenden vorliegen, sollten zusätzliche Informationen zur Identitätsfeststellung eingeholt werden. Jede Auskunft ist eine Übermittlung von personenbezogenen Daten und darf nur erteilt werden, wenn eine Rechtsgrundlage vorhanden ist (siehe 4).

Bei Unsicherheiten und Fragen ist intern Rücksprache zu halten, bevor eine Auskunft erteilt wird.

9.   Kontinuierlicher Verbesserungsprozess

Ziel ist es, den Datenschutz schrittweise zu verbessern.

Der Datenschutzbeauftragte überprüft vor Ort die Wirksamkeit der getroffenen Maßnahmen. Auf diese Weise wird regelmäßig der Ist-Zustand erhoben und mit den gesetzlichen Anforderungen abgeglichen. Es können so Korrekturen erkannt werden, die erforderlich sind und daraufhin umgesetzt werden. Es fließen dabei ein:

·        aufgetretene Vorfälle,

·        interne Anfragen bei Schulungen,

·        externe Anfragen,

·        bewertete Risiken,

·        sich verändernde Prozesse,

·        neue Technik.

Die Geschäftsführung wird in den lebenden Prozess des Datenschutzes als Entscheider einbezogen.

Jeder Mitarbeiter kann Verbesserungsvorschläge an den Datenschutzbeauftragten übermitteln.

Die Datenschutzdokumente sollten regelmäßig durch den Datenschutzbeauftragten, mindestens jährlich, auf Aktualität überprüft und ggf. angepasst werden.

10.     Rechenschafts- und Dokumentationspflicht

Die Einhaltung der Vorgaben, die sich aus diesem Konzept ergeben, muss jederzeit nachweisbar sein („Accountability“). Eine Nachweisbarkeit hat insbesondere durch eine schlüssige und nachvollziehbare schriftliche Dokumentation hinsichtlich getroffener Maßnahmen und dazugehöriger Abwägungen zu erfolgen.

Anhang

Aufbewahrungsfristen

Die nachfolgende Tabelle enthält eine alphabetisch geordnete Aufstellung von unterschiedlichen Belegen aus verschiedenen Bereichen der Wirtschaft mit typischerweise personenbezogenem Inhalt, unter Angabe der Dauer der Aufbewahrungspflicht und ggf. der besonderen gesetzlichen Aufbewahrungsnorm außerhalb von AO und HGB, ohne Anspruch auf Vollständigkeit und Richtigkeit.

Belegbezeichnung

Aufbewahrungsfrist in Jahren

Norm/Bemerkung

A

Abbuchungsaufträge für Lastschriften

10

 

Abschlussrechnungen

10

 

Abtretungserklärungen (soweit erledigt)

6

 

An- und Abwesenheitsmeldungen

10

 

An-, Ab-, Ummeldung der Krankenkasse

Bis zum Ablauf des auf die letzte Prüfung folgenden Kalenderjahres

§25 Abs. 2 DEÜV gemäß § 28 f Abs. 1 SGB IV

Angestellten- und Arbeitsversicherungs-unterlagen (sofern Buchungsbelege)

10

 

Anstellungsverträge nach Beendigung

6

 

Arbeitgeberdarlehen

6

 

Arbeitnehmerüberlassungsunterlagen - Verleiher

3

§ 7 Abs. 2 Satz 4 AÜG

Arbeitsgerichtsvorgänge (wenn Buchungs-beleg oder steuerlich erforderlich)

10

 

Arbeitszeitnachweise (wenn Buchungsbelege)

10

 

Arbeitszeitnachweise (Mehrarbeit)

2

§ 16 Abs. 2 Satz 2 ArbZG

Arbeitszeitnachweise (Luftfahrt)

15 Monate

§ 7 Abs. 1 Satz 2 2. DV LuftBO

Arbeitszeitnachweise (Seeschifffahrt)

3

§ 4 Nr. 2 See-ArbZNV

Aus- und Weiterbildungsnachweise

Mit Ausscheiden des Betroffenen aus dem Unternehmen.

 

Arbeitszeugnisse

Mit Ausscheiden des Betroffenen aus dem Unternehmen.

 

B

Beanstandungsvorgänge

6

 

Beitragsabrechnungen Renten-, Kranken- und Arbeitslosenversicherung

Bis zum Ablauf des auf die letzte Prüfung folgenden Kalenderjahres

 

Bestätigungen

6

 

Bestellungen

6

 

Betäubungsmittel (Niederschriften zur Vernichtung)

3

§ 16 Abs. 1 BtMB

Betriebsunfallvorgänge

6

 

Bewerbungsunterlagen

Bei nicht eingestellten Bewerbern spätestens 3 Monate nach Abschluss Bewerbungsverfahren. Bewerbungsunterlagen von Mitarbeitern mit Ausscheiden des MA

 

Buchungsbelege

10

 

C

Chemikalien-Prüfunterlagen

5

§ 20 Abs. 5 ChemG

D

Darlehensunterlagen (Buchungsbelege)

10

 

Darlehensunterlagen (Vertragsunterlagen nach Beendigung)

6

 

Dauerauftragsunterlagen

10

 

E

Einnahme-/Überschussrechnungen

10

 

E-Mails (wenn Handels-/Geschäftsbrief)

6

 

Empfangsbestätigungen und -nachweise

6

 

F

Fahrtenbuch

6

 

Fax (wenn Handels-/Geschäftsbrief)

6

 

Fehlzeitmeldung

10

 

G

Gehaltsabrechnungen (als Buchungsbeleg)

10

 

Gehaltsempfängerstammdaten

6

 

Gehaltslisten (als Buchungsbeleg)

10

 

Gehaltspfändungsunterlagen

10

 

Geschäftsbriefe (ohne Rechnungen)

6

 

Gesellschafterbeschlüsse

10

 

H

Handakten des Rechtsanwalts

5

§ 50 Abs. 2 Satz 1 BRAO

Handelsbriefe (ohne Rechnungen)

6

 

I

Inventarunterlagen

10

 

J

Jahresabschlüsse

10

 

Jugendarbeitsschutzuntersuchungsbogen (für Arzt)

10

§ 4 Abs. 2 JArbSchUVG

Jugendarbeitsschutzunterlagen: ärztliche Bescheinigungen

Bis zur Beendigung der Beschäftigung oder bis zum 18. Lebensjahr

§ 41 Abs. 1 JArbSchG

Jugendarbeitsschutzunterlagen: Verzeichnis/Unterlagen über beschäftigte Jugendliche

2

§ 50 Abs. 2 JArbSchG

K

Kaufanträge (wenn Vertrag zustande kommt)

6

 

Kaufanträge (nach Beendigung)

6

 

Kindergeldunterlagen für Arbeitgeber/Angestellte

6

 

Klageakten (nach Beendigung)

6

 

Kontenunterlagen

10

 

Korrespondenz (wenn Handels-/Geschäftsbrief u. keine Buchungsbelege)

6

 

Kundenaufträge

6

 

Krankmeldungen

3 (10 wenn lohnrelevant)

 

Kurzarbeitergeldanträge und -listen

6

 

L

Liste beschäftigter Fremdarbeitnehmer (Buchungsbeleg)

10

 

Lohnpfändungsunterlagen

10

 

Lohnsteuerunterlagen

10

 

M

Magnetbänder (wenn Belegfunktion)

10

 

Mahnbescheide

6

 

Mahnungen

6

 

Mehrarbeitsstundenbelege (wenn Buchungsbelege)

10

 

Mietverträge (nach Beendigung)

10

 

Monteurstundenzettel (Beleg für Lohnkonto)

6

 

Mutterschutzaufzeichnungen

2

§ 19 Abs. 2 MuSchG

Mutterschaftsgeldunterlagen (Beleg für Lohnkonto)

6

 

N

Nettolohnlisten und -berechnungen (als Bilanzunterlage oder Buchungsbeleg)

10

 

Notarielle Urkunden

10

 

O

Organisationsanweisungen/-beschreibungen/-pläne (wenn zum Verständnis der Buchführung erforderlich)

10

 

P

Pachtverträge (nach Beendigung)

10

 

Patientenbehandlungsunterlagen

10

§ 10 Abs. 3 Berufsordnung für die Arzte

Personalunterlagen (Lohnkonto)

6

 

Pfändungsunterlagen

10

 

Preislisten und Vereinbarungen (als Handelsbrief)

6

 

Preislisten (als Bewertungsunterlage)

10

 

Protokolle (als Handelsbrief)

6

 

Prozessakten (nach Beendigung)

6

 

Prüfberichte des Abschluss- oder Lagerprüfers

10

 

Q

Quittungen (als Buchungsbelege)

10

 

R

Rabattzusagen (wenn eingelöst)

10

 

Rechnungen

10

 

Rechnungsprüfzettel

10

 

Reisekostenabrechnungen (als Buchungsbeleg)

10

 

Reklamationen (als Handels-/Geschäftsbrief)

6

 

Röntgenbilder

10

§ 28 Abs. 3 Satz 2 RöV

Röntgenuntersuchungsunterlagen

10

§ 28 Abs. 3 Satz 2 RöV

Röntgenbehandlungsunterlagen

30

§ 28 Abs. 3 Satz 1 RöV

Rückscheine

6

 

S

Schadensmeldungen

6

 

Schaublätter (Fahrtschreiber und Kontrollgeräte)

1

§ 57a Abs. 2 Satz 4 StVZO, § 1 Abs. 6 Satz 9 FPersV

Schecks (nach Einlösung)

6

 

Schifferdienstbücher

Für die Dauer des Schifferdienstes

§ 5 Gesetz über Schifferdienstbücher

Schuldtitel, -scheine, -urkunden (nach Erledigung)

6

 

Schwerbehindertenverzeichnis

So lange schwerbehinderte, gleichgestellte oder sonstige anrechnungsfähige Personen beschäftigt werden

§ 80 Abs. 1 SGV IX

Sozialversicherungsunterlagen

6

 

Stundenlohnzettel (als Buchungsbeleg)

10

 

T

Taxibeleg

10

 

Telefonkostennachweise (als Buchungsbeleg)

10

 

Telekommunikations-Verkehrsdaten (Provider für die Öffentlichkeit)

0,5

§ 113a TKG

U

Unfallunterlagen (als Buchungsbeleg)

10

 

Urteile

6

 

V

Verfahrensbeschreibungen für Archivierung auf Datenträgern betreffend die Buchführung

10

 

Vertreterunterlagen

6

 

Vollmachten

6

 

W

Wahlakten (Betriebsrat, Aufsichtsrat, Schwerbehindertenvertretung)

Für die Dauer der Amtszeit

 

Z

Zahlungsaufträge, -belege, -anweisungen

10